Setuid opções binárias
Opções de montagem para sistemas de arquivos NFS O texto subseqüente lista algumas das opções que podem seguir o sinalizador - o quando você está montando um sistema de arquivos NFS. Para obter uma lista completa de opções, consulte a página man mountnfs (1M). Essas opções podem ser usadas para selecionar o comportamento de tentativa se uma montagem falhar. A opção bg faz com que as tentativas de montagem sejam executadas em segundo plano. A opção fg faz com que a tentativa de montagem seja executada em primeiro plano. O padrão é fg. Qual é a melhor seleção para sistemas de arquivos que devem estar disponíveis. Esta opção impede o processamento posterior até a montagem estar completa. Bg é uma boa seleção para sistemas de arquivos não críticos porque o cliente pode fazer outro processamento enquanto espera que o pedido de montagem seja concluído. Esta opção melhora o desempenho de grandes transferências de dados seqüenciais. Os dados são copiados diretamente para um buffer de usuário. Nenhum cache é executado no kernel no cliente. Esta opção está desativada por padrão. Anteriormente, todos os pedidos de gravação foram serializados pelo cliente NFS e pelo servidor NFS. O cliente NFS foi modificado para permitir que um aplicativo emita gravações simultâneas, bem como leituras e gravações simultâneas, em um único arquivo. Você pode ativar essa funcionalidade no cliente usando a opção de montagem forçada. Quando você usa essa opção, você está habilitando esta funcionalidade para todos os arquivos dentro do sistema de arquivos montado. Você também pode ativar essa funcionalidade em um único arquivo no cliente usando a interface directtio (). A menos que essa funcionalidade tenha sido ativada, as gravações em arquivos são serializadas. Além disso, se as gravações simultâneas ou as leituras e gravações concorrentes estão ocorrendo, as semânticas POSIX não são mais suportadas para esse arquivo. Para obter um exemplo de como usar esta opção, consulte Usando o comando mount. Com esta opção, você pode acessar arquivos que são maiores que 2 Gbytes em um servidor que esteja executando a versão Solaris 2.6. Se um arquivo grande pode ser acessado só pode ser controlado no servidor, então esta opção é ignorada silenciosamente nas montagens da versão 3 do NFS. Começando com a versão 2.6, por padrão, todos os sistemas de arquivos UFS são montados com grandes arquivos. Para montagens que usam o protocolo NFS versão 2, a opção de arquivos grandes faz com que o suporte falhe com um erro. Esta opção para montagens UFS garante que nenhum arquivo grande pode existir no sistema de arquivos. Veja a página do manual mountufs (1M). Como a existência de arquivos grandes só pode ser controlada no servidor NFS, nenhuma opção para nolargefiles existe ao usar montagens NFS. As tentativas de NFS-montar um sistema de arquivos usando esta opção são rejeitadas com um erro. Iniciando a versão Solaris 10, a opção nosuid é equivalente a especificar a opção nodevices com a opção nosetuid. Quando a opção nodevices é especificada, a abertura de arquivos especiais do dispositivo no sistema de arquivos montado não é permitida. Quando a opção nosetuid é especificada, o bit setuid e o bit setgid em arquivos binários que estão localizados no sistema de arquivos são ignorados. Os processos são executados com os privilégios do usuário que executa o arquivo binário. A opção suid é o equivalente a especificar a opção de dispositivos com a opção setuid. Quando a opção de dispositivos é especificada, a abertura de arquivos especiais do dispositivo no sistema de arquivos montado é permitida. Quando a opção setuid é especificada, o bit setuid e o bit setgid em arquivos binários localizados no sistema de arquivos são honrados pelo kernel. Se nenhuma das opções for especificada, a opção padrão é suid. Que fornece o comportamento padrão de especificar a opção de dispositivos com a opção setuid. A tabela a seguir descreve o efeito de combinar nosuid ou suid com dispositivos ou nodevices. E setuid ou nosetuid. Observe que em cada combinação de opções, a opção mais restritiva determina o comportamento. Comportamento das opções combinadas A opção nosuid fornece segurança adicional para clientes NFS que acessam servidores potencialmente não confiáveis. A montagem de sistemas de arquivos remotos com esta opção reduz a chance de escalonamento de privilégios através da importação de dispositivos não confiáveis ou a importação de arquivos binários setuid não confiáveis. Todas essas opções estão disponíveis em todos os sistemas de arquivos Solaris. Esta opção força o uso do identificador de arquivo público ao entrar em contato com o servidor NFS. Se o identificador de arquivo público é suportado pelo servidor, a operação de montagem é mais rápida porque o protocolo MOUNT não é usado. Além disso, como o protocolo MOUNT não é usado, a opção pública permite que a montagem ocorra através de um firewall. As opções - rw e - ro indicam se um sistema de arquivos deve ser montado em leitura ou gravação ou somente leitura. O padrão é leitura-escrita, que é a opção apropriada para diretórios domésticos remotos, diretórios de mensagens de correio eletrônico ou outros sistemas de arquivos que precisam ser alterados pelos usuários. A opção somente leitura é apropriada para diretórios que não devem ser alterados pelos usuários. Por exemplo, as cópias compartilhadas das páginas man não devem ser gravadas pelos usuários. Você pode usar esta opção para especificar o mecanismo de autenticação a ser usado durante a transação de montagem. O valor do modo pode ser um dos seguintes. Use o krb5 para o serviço de autenticação Kerberos versão 5. Use o krb5i para Kerberos versão 5 com integridade. Use krb5p para Kerberos versão 5 com privacidade. Use nenhum para nenhuma autenticação. Use dh para autenticação Diffie-Hellman (DH). Use o sistema para autenticação UNIX padrão. Os modos também são definidos em etc nfssec. conf. Um sistema de arquivos NFS montado com a opção suave retorna um erro se o servidor não responder. A opção difícil faz com que o suporte continue a tentar novamente até o servidor responder. O padrão é difícil. Que deve ser usado para a maioria dos sistemas de arquivos. Os aplicativos freqüentemente não conferem valores de retorno dos sistemas de arquivos montados em soft, o que pode fazer com que o aplicativo falhe ou pode levar a arquivos corrompidos. Se o aplicativo verificar os valores de retorno, os problemas de roteamento e outras condições ainda podem confundir o aplicativo ou levar a corrupção de arquivo se a opção suave for usada. Na maioria das situações, a opção suave não deve ser usada. Se um sistema de arquivos for montado usando a opção rígida e se tornar indisponível, um aplicativo que usa este sistema de arquivos trava até o sistema de arquivos ficar disponível. UNIX Linux: Explica setuid Arquivo Permissão W significa que um arquivo seja 8220setuid8221 Como fazer Manter o controle de todos os setuid setuid ativado significa definir identificação de usuário após a execução. Se setuid bit ativou um arquivo, o usuário que executa esse arquivo executável obtém as permissões do indivíduo ou grupo que possui o arquivo. Você precisa usar o comando ls - l ou encontrar para ver programas setuid. Todos os programas setuid exibem S ou s no bit de permissão (owner-execute) do comando ls. Digite o seguinte comando: ls - l usr bin passwd Como eu Listar Todos os arquivos setuid Enabled O comando a seguir descobre e imprime todos os arquivos setuid no sistema local: find - xdev (-perm -4000) - type f - print0 xargs -0 ls - l O bit s pode ser removido com o seguinte comando: caminho do arquivo Chmod para o arquivo. Risco de Programas Setuid Um invasor pode explorar binários setuid usando um script de shell ou fornecendo dados falsos. Os usuários normalmente não devem ter programas configurados instalados, especialmente configurados para usuários que não sejam eles próprios. Por exemplo, você não deve encontrar setuid habilitado binário para root em crack home vivek. Estes são geralmente tipos de programas de Trojan Horses. Neste exemplo, o usuário vivek executa o comando chamado 8220 usr bin vi compartilhado financialdata. txt8221, e a permissão no comando vi e o arquivo compartilhado financialdata. txt são as seguintes: Vivek tem permissão para executar usr bin vi, mas não permissão para Leia compartilhado financialdata. txt. Então, quando vi tenta ler o arquivo uma mensagem de erro 8220permission negada8221 será exibida para o vivek. No entanto, se você definir o bit SUID no vi: chmod us ush bin vi ls - l usr bin vi Agora, quando o vivek executa este programa SUID, o acesso a shareddata. txt compartilhado é concedido. Como funciona O sistema UNIX não pensa que o vivek está lendo o arquivo via vi, ele acha que 8220root8221 é o usuário e, portanto, o acesso é concedido. Como faço para verificar e registrar setuid System Call Under Linux Para cada setuid O auditório binário pode ser usado para auditoria do sistema em Linux. Pode registrar e auditar a chamada do sistema setuid. Edite, etc. audit audit. rules: vi etc. audit audit. rules Execute o seguinte comando para obter setuid habilitado binário de bin e adicione-os como acima: find bin - type f - perm -04000 Salve e feche o arquivo. Reinicie auditd: reinicialização de auditoria de serviço Use o comando aureport para visualizar os relatórios de auditoria: aureport --key - auscho original - acesso de chave --aa aurelão - arquivo - ausência original - acesso de chave --ravel aureport - x --summary Ausearch - acesso de chave - arquivo bin mount --raw aureport --user --summary - i Veja os arquivos de auditoria do Linux para ver quem fez alterações em um arquivo. Referências: Sobre o autor: Vivek Gite é um administrador de sistemas experiente e um instrutor para o Linux Unix shell shell shell. Siga-o no Twitter. Ou leia mais como isto: Apache: Reinício do Gracioso Server do Shell HowTo: Abra um arquivo Tar. gz no Linux Unix RHEL CentOS: listas do yum Instala Somente as Atualizações de Segurança Bind Security: Assinatura de Transações (TSIG) Configuração Execute Execute Command Usando SSH Linux UNIX Shell : Data de classificação UNIX Data Comando Exemplos Exibição Data e hora Linux Linux UNIX: Explicar os nove permissões Bits em arquivos Red Hat CentOS Instalar modsecurity Apache Intrusion Detection Andhellip
Комментарии
Отправить комментарий